vm2 JavaScript sandbox մոդուլի գործիքակազմը վերաշտկվել է՝ լուծելու խոցելիության կարևորագույն հարցեր, որոնք կարող էին չարաշահվել ցանկաված hellcode գործարկման ժամանակ:
Սխալը, ներառելով նաև 3.9.14 տարբերակը, առնչվում է ընթացիկ բոլոր տարբերակներին, 2023 թվականի ապրիլի 6-ին թողարկված զեկույցում նշվում է Հարավային Կորեայում գործող KAIST WSP լաբորատորիայի հետազոտողների կողմից: Զեկույցը ուշադրություն գրավելու նպատակ ունի, որով կոչ է անում vm2 տարեբերակը վերաշտկել 3.9.15-ով:
Նշված խոցելիությանը վերագրվել է բացահայտված CVE-2023-29017 տարբերակը և այն CVSS գնահատման համակարգում գնահատվել է 9.8 միավորով: Խնդիրը կայանում է նրանում, որ այն գրագետ կերպով չի կառավարում սխալները, որոնք տեղի են ունենում անհամաժամանակ գործառույթներում:
vm2-ը հանրաճանաչ գրադարան է, որն օգտագործվում է Node.js-ի միջավայրում անվստահելի կոդ գործարկելու համար: vm2-ն ունի մոտավորապես չորս միլիոն շաբաթական ներբեռնում և կիրառվում է 721 տարբեր փաթեթներում:
KAIST-ի անվտանգության գծով փորձագետ՝ Seongil Wi-ն CVE-2023-29017-ի համար proof-of-concept (PoC) շահագործման երկու նոր տարբերակներ է հասանելի դարձրել: Դրանք շրջանցում են sandbox պաշտպանությունը և թույլ են տալիս host-ի վրա ստեղծել «flag» անունով նոր դատարկ ֆայլեր:
Բացահայտումը տեղի ունեցավ այն ժամանակ, երբ vm2-ը լուծեց ևս մեկ կարևոր վրիկապ (CVE-2022-36067, CVSS 10 միավոր), որը կարող էր կիրառվել սարքավորման վրա ազդող կամայական գործողություններ կատարելիս:
Աղբյուրը՝ https://thehackernews.com/
